安小圈
第641期
HVV · Windows安全
1. 账户与密码策略
强制启用高强度密码策略,密码长度建议12位以上,包含大小写字母、数字及特殊符号组合。禁用默认账户(如Administrator)或重命名,避免使用常见名称。启用账户锁定策略,连续5次错误登录后锁定账户30分钟,防范暴力破解。定期清理无效或休眠账户,减少攻击面。
2. 系统更新与补丁管理
开启Windows Update自动更新功能,确保系统每月累积补丁及时安装。对于服务器等关键设备,建议通过WSUS(Windows Server Update Services)集中管理补丁分发。定期检查并修复CVE公告的高危漏洞,如Print Spooler远程代码执行漏洞(CVE-2021-34527)。
3. 防火墙与网络防护
启用Windows Defender防火墙,仅开放必要端口(如HTTP 80/HTTPS 443)。关闭NetBIOS、SMBv1等高风险协议,禁用LLMNR和NetBIOS-NS协议防止中间人攻击。通过高级安全策略限制入站/出站流量,如阻止ICMP回显请求减少网络探测。
4. 服务与组件优化
禁用非必要系统服务(如Remote Registry、Telnet),关闭PowerShell 2.0等老旧组件。通过“启用或关闭Windows功能”移除未使用的角色(如IIS、Hyper-V)。针对服务器环境,建议禁用GUI界面,采用Core模式运行降低攻击面。
5. 文件系统与权限控制
使用NTFS格式分区并设置ACL权限,遵循最小权限原则。关键目录(如System32、注册表)禁止普通用户写入权限。启用BitLocker全盘加密保护物理存储数据,配置TPM芯片绑定加密密钥。定期审核共享文件夹权限,关闭Everyone组匿名访问。
6. 日志与监控机制
启用安全审计策略,记录账户登录、策略更改等关键事件。配置日志文件大小(建议≥128MB)并设置覆盖策略。通过事件查看器或SIEM系统集中分析日志,建立异常登录(如非工作时间访问)、高频失败登录等告警规则。
7. 应用层防护
部署EDR终端检测响应系统,启用Windows Defender实时防护与定期全盘扫描。限制PowerShell执行策略为RemoteSigned,记录所有脚本执行日志。浏览器禁用Flash/Java等老旧插件,启用EMET(增强减灾体验工具)对抗内存攻击。
8. 备份与恢复预案
配置Windows Server Backup定期全量备份系统状态至离线存储,测试备份文件可恢复性。针对勒索软件威胁,建议采用3-2-1备份原则(3份副本、2种介质、1份异地)。建立系统镜像快照,确保灾难恢复时间目标(RTO)小于4小时。
END
原文始发于微信公众号(安小圈):HVV Windows【安全加固】手册
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论